ZAP Releases OWASP PenTest Kit Browser Extension for Application Security Testing
2026/01/23 CyberSecurityNews — Zed Attack Proxy (ZAP) チームが公開したのは、OWASP Penetration Testing Kit (PTK) のブラウザ・エクステンションを、ZAP が立ち上げたブラウザへと直接統合する、OWASP PTK アドオン バージョンの 0.2.0 alpha である。このアドオンにより、DAST/IAST/SAST/SCA/JWT Editor/Cookie Editor といった専用ツールが、手動でのセットアップを必要とせずに組み込まれ、アプリケーション・セキュリティ・テストが効率化される。すでに ZAP Marketplace から提供されており、ZAP 経由でプロキシされる Chrome/Edge/Firefox セッションに PTK が事前インストールされる。
ユーザーにとって必要なことは、ZAP Marketplace から OWASP PTK アドオンをインストールし、その後に ZAP の機能を用いて対応ブラウザを起動するだけだ。PTK のアイコンが即座に表示され、対象へのログインやスキャンの開始が可能となる。ZAP が担当するのは、トラフィック取得/サイト・ツリー /履歴/セッション管理であり、その一方で PTK がブラウザ・ネイティブなテスト・ツールを提供する。
PTK の DAST (Dynamic Application Security Testing) は、通常のブラウジング中における実行時スキャンを可能にする。具体的には、スキャンを開始し、フォームや管理ページなどの主要フローを操作した後に停止し、検出結果を確認できる。
ユーザー操作に依存する SPA (Single Page Application) に適しており、本番環境での安定性を確保するための、秒間リクエスト数およびコンカレント数の調整と、ノイズを抑えるための、厳格なドメイン・スコープ設定が推奨される。検出結果は ZAP に統合されるため、リクエスト・ツールを用いた再テストが可能になる。
IAST (Interactive Application Security Testing) は、スキャン中にエージェントを注入し、レスポンス分析を超えたシグナルを取得することで、ブラウザ実行時の振る舞いを監視する。モニタリングを開始して、認証済みルートを操作した後に、DOM 変更やクライアント側レンダリングの問題をトリアージする。
この機能は、UI 状態に依存するアプリケーションで特に有効であり、ブラウザ内ワークフローを維持したまま、ペネトレーション・テスターに迅速なコンテキストを提供する。
SAST (Static Application Security Testing) は、本番環境で読み込まれるインライン/外部のスクリプトを解析し、リポジトリ・アクセスを必要とせずに、シンクやパターンを検出する。現在のページに対する実行の結果を、DAST/IAST に連携して検証できる。特に、SPA におけるサードパーティ製スクリプトの評価に有用である。
SCA (Software Composition Analysis) は、実行中のアプリケーションから依存関係のリスクを可視化し、ZAP のコンテキストを用いてロード挙動を確認する。
Request Builder により、迅速な反復作業が可能になる。ZAP 履歴のトラフィックを編集することで、攻撃を再送信/cURL としての複製/ヘッダの操作が可能になる。JWT ツールによりトークンがデコードされ、クレームおよびアルゴリズムの変更や、exp の強制および脆弱な HMAC の検証を行った後に、ZAP 経由での再送信によるレスポンス差分の確認が可能になる。Cookie ツールにより、編集/ブロック/エクスポートが可能になるため、セッションの再現性が高められる。
実用的な運用フローは、ZAP プロキシ経由のブラウザ・ログインから開始される。その後のフロー中に、PTK の DAST/IAST を実行し、SAST/SCA により静的シグナルを確認し、JWT/Cookie の検証を行う構成となる。
この組み合わせは、プロキシの中核として ZAP を活用し、PTK によりブラウザ内での的確なテストを実現することで、モダン Web アプリケーションに対するカバレッジを強化するものとなる。権限に基づくアクティブ・スキャンの実施と、慎重な設定の適用が重要である。
このリリースは、2026年1月19日に発表された。Denis Podgurskii の貢献により開発されたものであり、ZAP と PTK の連携における重要なマイルストーンとなる。ペンテスターは、認証済みの動的なアプリケーションに対して、コンテキストを考慮した効率的なテストの実施が可能になる。
Webアプリケーションの診断ツールとして世界的に有名な Zed Attack Proxy (ZAP) に、ブラウザ上での高度なテストを可能にする OWASP Penetration Testing Kit (PTK) が直接統合されました。これにより、これまでは別々にセットアップが必要だった診断機能が、ZAP からブラウザを起動するだけで即座に利用できるようになります。
この連携の最大のメリットは、ZAP が得意とする “通信のキャプチャやセッションの管理” と、PTK が得意とする “ブラウザ内部の動きに密着したテスト” がシームレスに組み合わされることです。具体的には、ブラウザ内で動作する JavaScript の解析 (SAST) や、実行時の振る舞いを監視する IAST、依存ライブラリの脆弱性診断 (SCA) といった機能が、診断対象のサイトを操作しながらリアルタイムで実行できるようになります。
特に、近年の Single Page Application (SPA) のように、ユーザー操作により画面が複雑に変化するサイトの診断で威力を発揮します。ログイン後の画面を普通にブラウジングするだけで、PTK が背後で脆弱なフローを検知し、その結果を ZAP に送信します。その結果として、ZAP の強力なリクエスト編集機能を介した詳細な調査へと繋げることが可能になります。よろしければ、カテゴリー SecTools を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.